Definieren von Verarbeitungstätigkeiten im VVT einfach erklärt

Wenn man beginnt das Verzeichnis für Verarbeitungstätigkeiten (VVT) zu erstellen, stellt sich für die meisten bereits bei der ersten Aufgabe, der Definition von Verarbeitungstätigkeiten, die Frage des „Wie“. In diesem Beitrag erklären wir dir einfach verständlich, was eine Verarbeitungstätigkeit ist und wie du herausfindest, welche Verarbeitungstätigkeiten in deinem Unternehmen existieren.

Inhaltsverzeichnis

Was ist eine Verarbeitungstätigkeit und warum muss ich diese Tätigkeiten dokumentieren?

Eine Verarbeitungstätigkeit ist eine in sich abgeschlossene einmalige oder wiederkehrende Aktivität, bei der personenbezogene Daten manuell oder automatisch verarbeitet werden. Die DSGVO setzt voraus, dass ein Unternehmen wissen muss, bei welchen Vorgängen personenbezogene Daten verarbeitet werden. Diese Information und die dazugehörenden Details sind die Grundlage für Informationspflicht (Datenschutzrichtlinie) gegenüber der betroffenen Person. Auch bei Dienstleistungen, wo du personenbezogene Daten für ein anderes Unternehmen verarbeitest, sind diese Verarbeitungstätigkeiten Bestandteil der Auftragsverarbeiter-Vereinbarung.

Wie erstelle ich eine Liste an Verarbeitungs-tätigkeiten?

Zum Start müssen die Prozesse, in denen personenbezogene Daten verarbeitet werden, definiert werden. Gehe dazu am besten deine Geschäftsprozesse und deine Wertschöpfungskette durch und erstelle für jeden in sich abgeschlossenen Bereich, wo personenbezogene Daten verarbeitet werden, einen VVT Eintrag. Wichtig: sehr oft wird der Fehler gemacht, dass Tool-Namen als Einträge für das VVT herhalten, z. B. „Outlook Mails“ oder „Kundendaten in Excel“. Vermeide „Tool zentrierte“ Namen und verwende stattdessen Namen wie „Kundenkommunikation“ oder „Verwaltung von Kundendaten“. Die Tools sind dann ein Baustein im VVT Eintrag. Ein weiterer Tipp: Falls du Dienstleistungen anbietest (z. B. Mitarbeiter Coaching) wäre dieses Dienstleistungsangebot ein eigener VVT Eintrag. Sollte die Dienstleistung pro Kunde individuell stark variieren, ist es sinnvoll, dass du pro Kunden einen eigenen VVT Eintrag erstellst (z.B. „Individuelles Mitarbeiter Coaching Kunde X“).

 

Alternativ oder als Ergänzung zur oben beschriebener Methode über die Definition der Geschäftsprozesse und der Wertschöpfungskette kannst du auch über den Datenfluss versuchen, relevante Verarbeitungstätigkeiten zu identifizieren. Dabei versuchst du den „Weg“ der Daten im Unternehmen nachzuvollziehen. Wo werden Daten von Kunden und Mitarbeitern erfasst, wo werden sie dann überall benötigt (verarbeitet) und gespeichert und wann werden sie nicht mehr gebraucht. Anhand dieser Übersicht kann man den Datenfluss in abgeschlossene Verarbeitungsschritte und somit Einträge im VVT abbilden und hat gleichzeitig schon Inhalte für die VVT Einträge. Hier ein Beispiel anhand eines Online-Shops, wobei die nummerierten Überschriften die VVT Einträge darstellen:

Kundenregistrierung

  • Daten-Erhebung: Kunden registrieren sich im Online-Shop und geben dabei Name, Adresse, E-Mail-Adresse und ggf. Telefonnummer an.
  • Verarbeitung: Die Daten werden zur Erstellung eines Kundenkontos, Bestellabwicklung, Versand und Rechnungsstellung verwendet.
  • Speicherung: Kundendaten werden in der Kundendatenbank des Onlineshops gespeichert.
  • Weitergabe: An Versanddienstleister zur Lieferung der Bestellung und ggf. an Zahlungsdienstleister zur Abwicklung der Zahlung.
  • Löschung: Kunden können ihr Konto löschen lassen, wodurch ihre Daten aus der Datenbank entfernt werden.

Bestellvorgang

  • Daten-Erhebung: Bei einer Bestellung werden Artikel, Mengen, Lieferadresse und Zahlungsinformationen erfasst.
  • Verarbeitung: Die Daten werden zur Bestellabwicklung, Rechnungsstellung und Versand verwendet.
  • Speicherung: Bestelldaten werden in der Bestelldatenbank des Onlineshops gespeichert.
  • Weitergabe: An Versanddienstleister zur Lieferung der Bestellung und ggf. an Zahlungsdienstleister zur Abwicklung der Zahlung.
  • Löschung: Bestelldaten werden nach Ablauf der gesetzlichen Aufbewahrungsfristen gelöscht.

Zahlungsabwicklung

  • Daten-Erhebung: Bei der Zahlung werden Kreditkarteninformationen oder andere Zahlungsdaten erfasst.
  • Verarbeitung: Die Daten werden zur Zahlungsabwicklung verwendet.
  • Speicherung: Zahlungsdaten werden nicht vom Onlineshop selbst gespeichert, sondern direkt vom Zahlungsdienstleister verarbeitet.
  • Weitergabe: An den Zahlungsdienstleister zur Abwicklung der Zahlung.
  • Löschung: Zahlungsdaten werden nach der Zahlungsabwicklung gelöscht.

Website-Nutzung

  • Daten-Erhebung: Beim Besuch der Website werden Daten wie IP-Adresse, Browsertyp, Betriebssystem und besuchte Seiten erfasst.
  • Verarbeitung: Die Daten werden zur Analyse des Nutzerverhaltens, Verbesserung der Website und personalisierten Werbung verwendet.
  • Speicherung: Die Daten werden in Logfiles und ggf. in Cookies auf dem Gerät des Nutzers gespeichert.
  • Weitergabe: An Webanalyse-Dienstleister und ggf. an Werbepartner.
  • Löschung: Logfiles werden nach einer bestimmten Zeit automatisch gelöscht, Cookies können vom Nutzer selbst gelöscht werden.

E-Mail Marketing

  • Daten-Erhebung: Kunden können sich für den Newsletter anmelden und dabei ihre E-Mail-Adresse angeben.
  • Verarbeitung: Die E-Mail-Adresse wird für den Versand von Newslettern und Werbeangeboten verwendet.
  • Speicherung: Die E-Mail-Adresse wird in der Newsletter-Datenbank gespeichert.
  • Weitergabe: An E-Mail-Marketing-Dienstleister.
  • Löschung: Kunden können sich jederzeit vom Newsletter abmelden, wodurch ihre E-Mail-Adresse aus der Datenbank entfernt wird.
.

Für den Fall, dass man Mitarbeiter hat, kann man ähnlich vorgehen. Hier können sich dann Verarbeitungstätigkeiten wie Bewerbungsprozess, Mitarbeiter Onboarding, Personalverwaltung, Gehaltsabrechnung, usw. ergeben.

Fazit

Verarbeitungstätigkeiten eines Verzeichnisses für Verarbeitungstätigkeiten zu definieren kann schwieriger sein, als man denkt. Mit dem richtigen systematischen Vorgehen kann man viele Fehler vermeiden und ein Verzeichnis in guter Qualität aufbauen, welches später bei der Generierung von Datenschutzrichtlinien oder Auftragsverarbeitungs-Vereinbarungen einen großen Mehrwert bringt.

Weitere Beiträge

How-To

Zweck und Rechtsgrundlage einer Datenverarbeitung definieren

Wenn du personenbezogene Daten erhebst und verarbeitest, solltest es einen Zweck und eine Rechtsgrundlage dazu geben. Besonders das Bestimmen der Rechtsgrundlage ist für die meisten kein einfaches Unterfangen. In diesem Beitrag erklären wir dir, wie du im Zuge des Verzeichnisses für Verarbeitungstätigkeiten den richtigen Zweck und die richtige Rechtsgrundlage definierst.

Weiterlesen »
How-To

Das Verzeichnis für Verarbeitungstätigkeiten (VVT) – warum es so wichtig ist und wie man am besten damit startet

Die wenigsten Unternehmen denken an das Verzeichnis für Verarbeitungstätigkeiten kurz VVT, wenn sie sich mit Datenschutz beschäftigen. Was die wenigsten wissen: Das VVT ist vermutlich die wichtigste Komponente im DSGVO Jungel. Warum das so ist und wie du einfach und verständlich damit starten kannst ein VVT selbst zu erstellen, erklären wir dir im folgenden Blog Beitrag.

Weiterlesen »